Informacijski pooblaščenec prejema veliko število vprašanj glede danes predstavljenih načrtov za uvedbo mobilne aplikacije za sledenje stikom. S strani predlagatelja sicer nismo bili seznanjeni z besedilom predloga zakona, zato naš odgovor temelji le na pojasnilih, ki so bila glede aplikacije do sedaj javno objavljena.
Kot že poudarjeno, Informacijski pooblaščenec razume pričakovanja glede aplikacij v smislu varovanja zdravja, ob tem pa je treba pravilno razumeti njihovo delovanje, saj je to ključnega pomena za zaupanje vanje. Aplikacije za sledenje kontaktov nedvomno pomenijo obdelavo osebnih podatkov državljanov in navedbe, da bi uporaba aplikacije pomenila uporabo anonimnih podatkov, oziroma sploh ne bi posegala v osebne podatke posameznikov, so zavajajoče. Podatki, o stikih posameznika, še posebej, kadar gre za potrjeno okuženega ali pod ukrepom karantene, so nedvomno osebni, pogosto tudi občutljivi, in morajo biti varovani skladno z Splošno uredbo o varstvu podatkov, ZVOP-1 in Ustavo RS.
Le prostovoljna namestitev aplikacije je v okviru evropskega pravnega reda lahko sprejemljiva. Nove pravne podlage, ki bi nalagale obvezno rabo aplikacije morajo spoštovati temeljne standarde varstva pravic posameznikov: morajo biti zakonite in ustavne, časovno omejene, morajo biti nujne in sorazmerne glede na zasledovani cilj, torej omejevanje epidemije Covid 19 in tega ni mogoče doseči z milejšimi sredstvi. Predvsem sorazmernost in nujnost je v primeru obvezne aplikacije izredno težko utemeljiti, saj si veliko posameznikov, ki bi se izkazali za okužene, aplikacije niti ne bi moglo naložiti, ker nimajo novejšega pametnega telefona, na katerem aplikacije zanesljiveje delujejo. To pomeni, da bi bil velik del, tudi najranljivejše populacije, iz tega ukrepa izključen (starejši, vsi ki nimajo najnovejših mobilnih telefonov, otroci, socialno šibkejši) in že dejstvo, da velik del populacije niti nima primernih telefonov za to, postavi presojo nujnosti in sorazmernosti pod velik vprašaj. Posebna skrb bi morala biti posvečena vprašanju obvezne rabe pri posameznikih, ki jim je bila odrejena karantena. Ti namreč niso potrjeno okuženi, o čemer bi aplikacija obveščana ostale uporabnike, pač pa je obvezna raba »na zalogo« in s tem zelo vprašljiva z vidika sorazmernosti in nujnosti.
Glede na resnost posega v pravico do varstva osebnih podatkov, ki ga aplikacija za sledenje stikov predstavlja, Informacijski pooblaščenec pričakuje, da bodo predlagatelji zakona pozorno pretehtali vprašanja nujnosti in sorazmernosti pri obvezni rabi aplikacije in rešitve na tem področju uskladili z evropskimi. Kolikor nam je znano, so vse primerljive aplikacije na evropski ravni (v razvoju in v uporabi, tudi Nemška in Italijanska na kateri je bilo v medijih zaslediti sklicevanje) na prostovoljni ravni, glede obvezne rabe tudi Evropska komisija poudarja vprašljivost takih pravnih podlag v demokratični družbi.
Prav tako pričakujemo, da bo zakonodaja jasno opredelila, kdo in v kakšnih primerih ima poleg posameznikov tudi dostop do podatkov o stikih, kdo so torej potencialni upravljavci osebnih podatkov , ali dela podatkov – kakšna je tu vloga pristojnih ministrstev (za javno upravo in za zdravje) in NIJZ, katere naloge v zvezi z zagotavljanjem aplikacije, njenim vzdrževanjem in zavarovanjem opravlja katero ministrstvo in kakšne so njihove dolžnosti. Zakon bi moral natančno opredeliti, kateri osebni podatki se potencialno s strani teh institucij obdelujejo, za katere namene, koliko časa se hranijo, komu se lahko posredujejo, kdo ima dostop do katerih podatkov o katerih posameznikih, ki uporabljajo aplikacijo (prostovoljnih uporabnikih, okuženih, tistih v karanteni). Prav tako mora upravljavec pred začetkom delovanja aplikacije pripraviti presojo vpliva na varstvo osebnih podatkov in nas s tem seznaniti.
Mojca Prelesnik,
informacijska pooblaščenka